13.windbg-!runaway、~、|(控制进程、线程切换)

最新推荐文章于 2022-09-07 00:48:20 发布
最新推荐文章于 2022-09-07 00:48:20 发布
阅读量8.1k 收藏 4
点赞数 1
分类专栏: windbg 文章标签: windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/7564252
版权

!runaway

!runaway命令显示每个线程消费的时间

Bit 0 (0x1) 让调试器显示每个线程消耗的用户模式时间(user time),默认不加就是0x1

Bit 1 (0x2) 显示每个线程消耗的内核时间(kernel time)。 Bit 2 (0x4) 显示每个线程从创建开始经历了多少时间。 就是三者的组合:1 2 3 4 5 6 7 
0:002> !runaway 
 User Mode Time
  Thread       Time
   0:890       0 days 0:00:00.031
   2:a00       0 days 0:00:00.000
   1:1174      0 days 0:00:00.000
0:002> !runaway 1
 User Mode Time
  Thread       Time
   0:890       0 days 0:00:00.031
   2:a00       0 days 0:00:00.000
   1:1174      0 days 0:00:00.000
0:002> !runaway 2
 Kernel Mode Time
  Thread       Time
   0:890       0 days 0:00:00.062
   2:a00       0 days 0:00:00.000
   1:1174      0 days 0:00:00.000
0:002> !runaway 3
 User Mode Time
  Thread       Time
   0:890       0 days 0:00:00.031
   2:a00       0 days 0:00:00.000
   1:1174      0 days 0:00:00.000
 Kernel Mode Time
  Thread       Time
   0:890       0 days 0:00:00.062
   2:a00       0 days 0:00:00.000
   1:1174      0 days 0:00:00.000
0:002> !runaway 4
 Elapsed Time
  Thread       Time
   0:890       0 days 0:38:34.825
   1:1174      0 days 0:38:34.793
   2:a00       0 days 0:38:24.528
0:002> !runaway 7
 User Mode Time
  Thread       Time
   0:890       0 days 0:00:00.031
   2:a00       0 days 0:00:00.000
   1:1174      0 days 0:00:00.000
 Kernel Mode Time
  Thread       Time
   0:890       0 days 0:00:00.062
   2:a00       0 days 0:00:00.000
   1:1174      0 days 0:00:00.000
 Elapsed Time
  Thread       Time
   0:890       0 days 0:38:41.825
   1:1174      0 days 0:38:41.793
   2:a00       0 days 0:38:31.528

该扩展命令可以用来快速找出哪些线程循环失去控制消耗了太多CPU时间。输出中以调试器的内部线程号和16进制线程ID来标识每个线程。还会显示调试器ID,当然,主要用于分析dump文件

~ (Thread Status)

波形符(~) 命令显示指定线程或当前进程中的所有线程的信息

0:002> ~  
   0  Id: 433c.4154 Suspend: 1 Teb: 7efdd000 Unfrozen
   1  Id: 433c.33e4 Suspend: 1 Teb: 7efda000 Unfrozen
.  2  Id: 433c.c50 Suspend: 1 Teb: 7efd7000 Unfrozen
0:002> ~*    ///<显示线程和入口函数
   0  Id: 433c.4154 Suspend: 1 Teb: 7efdd000 Unfrozen
      Start: test1!ILT+120(_wmainCRTStartup) (00a6107d) 
      Priority: 0  Priority class: 32  Affinity: f
   1  Id: 433c.33e4 Suspend: 1 Teb: 7efda000 Unfrozen
      Start: test1!ILT+35(?ThreadProcYAKPAXZ) (00a61028) 
      Priority: 0  Priority class: 32  Affinity: f
.  2  Id: 433c.c50 Suspend: 1 Teb: 7efd7000 Unfrozen
      Start: ntdll!DbgUiRemoteBreakin (77e6fb5a) 
      Priority: 0  Priority class: 32  Affinity: f
0:002> ~0
   0  Id: 433c.4154 Suspend: 1 Teb: 7efdd000 Unfrozen
      Start: test1!ILT+120(_wmainCRTStartup) (00a6107d) 
      Priority: 0  Priority class: 32  Affinity: f
0:002> ~0s    ///<切换线程
eax=00000000 ebx=0044f5e4 ecx=00000006 edx=00000000 esi=00000003 edi=71b16740
eip=76c07cb0 esp=0044f494 ebp=0044f51c iopl=0         nv up ei pl zr na pe nc

我们可以发现,~和~*还是有点区别的,~*会把入口函数和优先级都打印出来

//暂停、恢复线程----------------------------------------------------------------------------------------------------

0  Id: 433c.4154 Suspend: 1 Teb: 7efdd000 Unfrozen意思是0号线程,进程ID为433c,线程ID为4154,暂停数为1,未冻结状态,每个线程都包含了一个暂停计数(Suspend Count),以及一个冻结/解冻(Frozen/Unfrozen)的状态。

暂停计数由Windows内核使用的值,可以通过SuspendThread和ResumeThread这两个系统函数来控制的,核心编程里说一个线程创建时,暂停次数为1,

当线程完全初始化后,系统就要查看CREATE_SUSPEND标志是否已经传递给CreateThread。如果该标志没有传递,系统便将线程的暂停计数递减为0,

该线程可以调度到一个进程中

也可以用~<tid>n增加暂停计数,用~<tid>m减少暂停计数,如下:

0:001> ~1n
0:001> ~1
.  1  Id: 433c.33e4 Suspend: 2 Teb: 7efda000 Unfrozen
      Start: test1!ILT+35(?ThreadProcYAKPAXZ) (00a61028) 
      Priority: 0  Priority class: 32  Affinity: f
0:001> g
此时g运行,会发现1号线程被暂停了,必须使用~1m来恢复

冻结状态是调试器的状态,在window操作系统中是不支持这个概念,对于每个被冻结的线程,调试器将记住这个状态,并且在调试事件被处理之前增加线程的挂起计数,当调试事件被处理完毕时,挂起计数将被递减,对应的命令为:

冻结~<tid>f

解冻~<tid>u

冻结命令数量必须和解冻命令数量相等

| (Process Status)

这个在多进程切换时比较有效:

先模拟一个多进程调试:

windbg先打开test1

再附加到test2上:

0:002> |               ///< <span style="font-family: 'Courier New', Courier, mono;">查看总进程列表,目前只有一个</span>
.  0	id: 433c	create	name: test1.exe
0:002> .attach 0n7860  ///< 附加test2
Attach will occur on next execution
0:002> g               ///< 运行
*** wait with pending attach
Symbol search path is: srv*
Executable search path is: 
ModLoad: 00300000 0031b000   D:\windbg\test2\Debug\test2.exe
ModLoad: 77dd0000 77f50000   C:\Windows\SysWOW64\ntdll.dll
eax=7efda000 ebx=00000000 ecx=00000000 edx=77e6fb5a esi=00000000 edi=00000000
eip=77de000c esp=0079fe54 ebp=0079fe80 iopl=0         nv up ei pl zr na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246
ntdll!DbgBreakPoint:
77de000c cc              int     3
1:004> |<span style="white-space:pre">	</span>     ///< 再次查看总进程列表,目前已有两个
   0	id: 433c	create	name: test1.exe
.  1	id: 1eb4	attach	name: D:\windbg\test2\Debug\test2.exe
和线程切换相同:使用: 

1:004> |0s
切换回0号进程


 

 

花熊
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg调试工具windbg-10.0.18.zip
10-24
windbg是Windows平台强大的软件调试利器,可以分析各种软件异常问题。 本压缩包是10.0版本的。
windbg调试命令汇总
petrichor0324的博客
03-16 855
1:64位可以加载32为进行调试,!wow64exts.sw 切换到32位,再输一次切换到64位 2:x*! 查看哪些模块的符号文件已经被加载, F9:设置断点,只要在光标定位的位置(上图中灰色条)按F9键即可,再按一次F9键则会删除断点。(相当于OllyDbg 中的 F2) F10:单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等...
Windbg调试命令详解(3)
张佩的技术库
10-08 6033
3 进程线程 既可以显示进程线程列表,又可以显示指定进程线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。 3.1 进程命令 进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。 竖线命令显示当前被调试进程列表的状态信息,这个命令在本章开头已作过介绍,命令格式如下: | [进程号] 请注意这里的定语:被调试进程
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 8万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
windbg常用命令
whatday的专栏
12-22 2182
1.基本调试控制 运行程序(Run): 快捷键:F5 命令:g 单步步入(Step In): 快捷键:F8 命令:p 单步步过(Step Over): 快捷键:F10 运行到光标所在行: 快捷键:F7 执行到返回:gu 执行到指定地址:g [Address] 重新运行调试程序: 快捷键:Ctrl+Shift+F5(这个对驱动一般用不到) 2.断点 断点之于调试当然是非常重要的
WinDBG 常用调试命令总结
CSDN
06-10 5524
Windbg(Windows Debugger)是一款由Microsoft开发的用于Windows操作系统的强大调试工具。它主要用于分析和调试Windows应用程序、驱动程序以及操作系统本身的问题。Windbg提供了许多功能和命令,可用于诊断和解决各种软件和硬件问题,包括崩溃、死锁、性能问题等。
Windbg命令学习6(!runaway和~)
weixin_30312659的博客
05-14 153
1.!runaway !runaway命令显示每个线程消费的时间 Bit 0 (0x1) 让调试器显示每个线程消耗的用户模式时间(user time),默认不加就是0x1Bit 1 (0x2) 显示每个线程消耗的内核时间(kernel time)。 Bit 2 (0x4) 显示每个线程从创建开始经历了多少时间。 就是三者的组合:1 2 3 4 5 6 70:002> !run...
搬运! Windbg调试命令详解
TTdreamloong的博客
02-07 2608
转载注明>>【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共同特点是,都只有控制台界面,以命令行形式工作。 Windbg.exe在用户态、内核态下都能够发挥调试功能,尤其.
双机调试和windbg的命令
bilibili的博客
03-24 5993
啦啦啦
windbg的!runaway命令
erikaIT的博客
03-23 1223
该命令可以用来查看每个线程的cpu占用时间,可以用来跟进一些进程cpu占用高的问题
Windbg 命令 (三)
wupeng4389151的博客
09-07 738
Windbg 命令 (三)
windbg-order.rar_windbg
09-20
windbg的常用命令,是我在学习时做的笔记,初学者适用!
windbg-info:与使用和改进windbg相关的链接的集合
05-12
windbg信息 该项目旨在成为与windbg相关的链接的存储库,我发现这些链接有用,有趣或已使用,并希望保留在易于访问的列表中。 WinDbg预览 我没有使用过新版本,但是看起来很不错。 WinDbg 一般连结 使用Windbg分析...
windbg-x64 dump分析工具
01-16
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
windbg-cheat-sheet:我使用WinDbg进行内核调试的个人备忘单
04-27
内核调试和WinDbg备忘单我使用WinDbg进行内核调试的个人备忘单。 当我使用WinDbg进行新操作时,本备忘单/迷你指南也会更新。内核调试设置安装调试工具要使用windbg,您必须安装。 我建议从Windows应用商店安装Windbg...
14.windbg-k、u、x(堆栈查看、汇编查看、函数查找)
hgy413的专栏
05-14 2万+
kk*命令显示给定线程的调用堆栈,以及其他相关信息~0 k表示打印0号线程的调用堆栈,直接用k表示打印当前线程的调用堆栈0:002&gt; ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
17.windbg-!cs、~~[TID](经典死锁)
hgy413的专栏
05-16 1万+
经典死锁
8.windbg-vertarget、lm
hgy413的专栏
05-09 1万+
1.g可以让目标程序继续执行,ctrl+break可以挂起正在运行的目标程序回到调试模式   2.vertarget vertarget 命令显示目标机的Microsoft Windows操作系统版本 给个示例: 0:011> vertarget Windows XP Version 2600 (Service Pack 3) MP (4 procs) Free x86 compati
29.windbg-!heap(堆状态)
hgy413的专栏
05-31 1万+
以下以windbg启动calc为调试结果: !heap !heap 扩展显示堆使用信息,控制堆管理器中的断点,检测泄露的堆块,搜索堆块或者显示页堆(page heap)信息。 !heap -h列出当前进程的所有堆: 0:000> !heap -h Index Address Name Debugging options enabled 1: 000a0000
windbg -xe cpr 1.exe 这个命令行是什么意思
最新发布
06-13
这个命令行是在使用Windbg调试器来运行名为1.exe的程序,并在程序运行过程中监视和记录CPU寄存器的内容。具体来说,-xe参数指定了要监视的内容,这里是cpr,表示要监视CPU的所有寄存器。1.exe是要运行的程序的名称。这个命令行的作用是在程序运行过程中记录CPU寄存器的变化,以帮助调试者检查程序的运行状态和诊断问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值